API Gateway (HTTP) を公開しました。認証するには、有効な JWT を提供する必要があります。
このAPIGWをCloudfront + WAFで保護したい。ドキュメントAPI Gateway エンドポイントは依然としてインターネットに公開されていると思います。API Gateway を保護する唯一の手段は、WAF でのヘッダーの検証です。攻撃者は依然としてインターネット上で API Gateway を見つけ、Cloudfront を経由せずに API Gateway エンドポイントに直接 DDOS 攻撃を実行できます。
このアプローチは安全だと考えられるか?Cloudflareはトンネルインフラストラクチャがインターネットに公開されないようにするためです。このアプローチの方がはるかに安全だと思います。AWS ではこのようなものが利用できるのでしょうか?
答え1
私の意見では、CloudFront の背後にインターネット上の API ゲートウェイを配置すれば、十分に安全であると思われます。これはまさにそのための設計です。必要に応じて CloudFront を使用して地理的な分散を制限することもできますが、一般的には AWS Shield を CloudFront / Route53 と組み合わせることで、DDOS に対する十分な保護が得られます。
API Gateway ディストリビューションをプライベートにして、VPC/VPN 経由でインターネットに公開することもできますが、作業量もコストも増えます。私は、AWS 内の単一のアプリケーションでのみ使用されるサービスを提供する場合にのみ、プライベート API ゲートウェイを使用するようにしています。
API Gateway はマネージドサービスです。AWS はマネージドサービスが DDOS 攻撃によって機能しなくなることを望んでいないため、DDOS 攻撃が発生したときにマネージドサービスを保護し、攻撃を軽減します。
本当に心配な場合は、AWS Shield Advanced に料金を支払うこともできますが、月額 3,000 ドルかかります。これは、コストが主な要因ではない企業でよく使用されます。